当前位置: 首页>>韩国发布 >>研究人员劫持三星的SmartThings物联网系统

研究人员劫持三星的SmartThings物联网系统

添加时间:    

周一在密歇根大学的研究人员宣布他们已经发现了三星智能家庭自动化系统中的一系列漏洞,基本上可以让黑客控制各种功能,并打入用户的家中。

研究人员在与微软合作研究物联网应用的第一个研究项目时,对系统进行了安全性分析。

他们能够执行四个概念验证攻击,允许他们进入家庭或接管不同功能的能力:

伪装成电池级监视器的锁定窃取恶意软件应用程序可以窃听用户为门锁设置新的PIN码,并通过短信将PIN码发送给潜在的黑客。

SmartApp可通过将附加钥匙编程为电子锁来远程利用,以制作备用钥匙。

一个SmartApp可以关闭假期模式 - 让用户在室内灯光,百叶窗和其他功能的时间计划,以帮助确保一个家,而居民不在 - 在另一个应用程序。

通过SmartApp发送虚假消息,研究人员能够发出火警。

研究人员测试SmartThings是因为它的广泛使用。该系统的Android应用程序已被下载超过10万次。 SmartThings应用程序商店是第三方开发人员在系统云中编写应用程序的地方,拥有超过500个应用程序。

该平台有一个名为“overprivilege”的漏洞,这意味着SmartApps允许更多的访问设备比原来的意图,这些设备可以做的事情,他们没有编程原本做的,研究表明。研究人员说,开发人员给近500个应用程序测试的40%提供了额外的功能,并错误地部署了OAuth身份验证方法。当与系统内置的超额权限相结合时,这些缺陷可能使攻击者将自己的PIN码编入系统,从而创建一个备用密钥来攻击系统。研究人员说,另外,所谓的“事件子系统” - 设备在编程时产生的信息流 - 是不安全的。

去年他们向三星通报了这个问题,并一直在努力修补漏洞。 “SmartThings首席执行官Alex Hawkinson表示:”保护我们客户的隐私和数据是SmartThings所做的一切的基础。

该公司定期对其系统进行安全检查,并与第三方专家进行沟通,以保持安全漏洞。

在过去的几个星期里,SmartThings团队一直在与研究人员就漏洞进行合作,并发布了一些更新,以防止潜在的漏洞发生之前,霍金森说。

他补充说,报告中描述的漏洞都没有影响客户。

这些漏洞主要取决于两种情况:安装恶意SmartApp,以及第三方开发人员未遵循SmartThings指导原则来保证其代码安全。

作为一个开发平台,开发者日益活跃,SmartThings提供了关于如何保持所有代码安全并确定什么是可信任来源的详细指导。从不可信来源下载的代码可能存在潜在风险。它说,该公司已经更新了记录在案的最佳实践,为开发者提供更好的安全指导。

趋势科技全球威胁沟通经理Christopher Budd表示,在不知道开发细节的情况下,不可能知道漏洞是如何暴露的。

他告诉TechNewsWorld,总体而言,这样的漏洞指出了开发过程中的问题,特别是围绕安全过程的优先级。

“这是一个广泛而普遍的问题,不仅在物联网设备,而且桌面应用程序和移动 “Budd说,

该论文定于本月晚些时候在美国加利福尼亚州圣何塞举行的IEEE安全和隐私研讨会上发布。他已经为路透社,彭博社, Crain的纽约商业纽约时报

随机推荐